ACL配置內部IP隔離

拓撲結構如下：   PC 1屬於vlan 10   PC2和PC3 屬於vlan 20 

 

Advanced ACL 3000, 4 rules
Acl's step is 5
rule 5 permit ip destination 192.168.100.0 0.0.0.255   #訪問100段
rule 50 permit ip destination 192.168.10.1 0                  #訪問指定IP
rule 51 permit ip destination 192.168.20.1 0                  #訪問指定IP
rule 100 deny ip

traffic-filter vlan 20 inbound acl 3000
traffic-filter vlan 10 inbound acl 3000

 

 

 結果驗證 : 1. 所有PC 均能夠訪問SW1任何接口IP地址， 能夠訪問R1 , R1也能訪問所有PC

                   2. 所有PC 之間均不能互訪，（同一vlan20 下PC2和PC3也無法ping通）

 

 

 

 

 

 

ACL中Deny配置導致多條NAT配置中第2條不生效

發布時間:  2014-10-22  |   瀏覽次數:  817  |   下載次數:  4  |   作者:  SU1001634105  |   文檔編號： EKB1000056956

目錄

問題描述 處理過程 根因 解決方案 建議與總結

問題描述

客戶需求：  acl中匹配的網段每個網段指定轉化為一組公網地址。
故障描述：客戶反饋 192.168.20.0/24 網段無法上網。
配置如下：
#
nat address-group 1 219.148.62.179 219.148.62.179
nat address-group 2 219.148.62.180 219.148.62.180
#
acl number 3000 
rule 5 permit ip source 192.168.10.0 0.0.0.255
rule 10 deny ip
acl number 3001 
rule 5 permit ip source 192.168.20.0 0.0.0.255
rule 10 deny ip
#
interface GigabitEthernet0/0/1
ip address 219.148.62.178 255.255.255.240
nat outbound 3000 address-group 1
nat outbound 3001 address-group 2 

處理過程

可能原因：
1.轉化的address-group 2 IP地址沖突
2.acl中的deny選項就數據直接丟棄。
3.nat session轉化表異常。

操作過程：
1.查看log日志中並沒有IP地址沖突告警。叫客戶測試將nat outbound 3000 address-group 1 刪除后 192.168.20.0/24網段能上網 排查IP地址沖突的可能性。
2.查看acl匹配表發現：
<Huawei>dis acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 5 permit ip source 192.168.10.0 0.0.0.255 (2 matches)
rule 10 deny ip (4  matches)
  rule 10 deny 項有匹配次數。將問題鎖定為acl deny項導致。

根因

產品文檔中對於ACL  deny 解釋為拒絕符合條件的報文。

 

解決方案

將acl3000 和acl3001中 的deny匹配項刪除 即可。

建議與總結

多條nat 匹配順序 按配置順序。 ACL中的DENY  一般都是就數據直接丟棄，很多產品都是包括交換機、AR系列路由器和防火牆。

多條ACL 匹配順序 按配置順序。（如ACL3000 與ACL 3001 誰在前先執行誰）  ACL中的DENY  一般都是就數據直接丟棄，很多產品都是包括交換機、AR系列路由器和防火牆